Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

About GitHub Dependabot version updates

You can use Dependabot de GitHub to keep the packages you use updated to the latest versions.

En este artículo

Nota: Las Actualizaciones de versión para el Dependabot de GitHub se encuentran actualmente en beta y están sujetas a cambios. Para utilizar la característica del beta, revisa el archivo de configuración para indicar al Dependabot de GitHub cuáles dependencias debe mantener para ti. Para obtener más detalles, consulta la sección "Habilitar e inhabilitar las actualizaciones de versión."

About Actualizaciones de versión para el Dependabot de GitHub

Dependabot de GitHub takes the effort out of maintaining your dependencies. You can use it to ensure that your repository automatically keeps up with the latest releases of the packages and applications it depends on.

You enable Actualizaciones de versión para el Dependabot de GitHub by checking a configuration file in to your repository. The configuration file specifies the location of the manifest, or other package definition files, stored in your repository. Dependabot uses this information to check for outdated packages and applications. Dependabot determines if there is a new version of a dependency by looking at the semantic versioning (semver) of the dependency to decide whether it should update to that version. When Dependabot identifies an outdated dependency, it raises a pull request to update the manifest to the latest version of the dependency. You check that your tests pass, review the changelog and release notes included in the pull request summary, and then merge it. For more information, see "Enabling and disabling version updates."

If you enable security updates, Dependabot de GitHub also raises pull requests to update vulnerable dependencies. For more information, see "Configuring Actualizaciones de seguridad del Dependabot de GitHub."

Dependabot de GitHub and all related features are covered by GitHub's Terms of Service.

Frequency of Dependabot de GitHub pull requests

You specify how often to check each ecosystem for new versions in the configuration file: daily, weekly, or monthly.

Cuando habilitas las actualizaciones de versión por primera vez, podrías tener muchas dependencias desactualizadas y algunas podrían estar varias versiones debajo de la última. El Dependabot de GitHub revisa si hay dependencias desactualizadas tan pronto como se instale la app. Podrías ver nuevas solicitudes de extracción para las actualizaciones de versión después de algunos minutos de haber agregado el archivo de configuración, dependiendo de la cantidad de archivos de manifiesto para los cuales configuras las actualizaciones.

Para que se puedan seguir administrando las solicitudes de extracción y sean fáciles de revisar, la app levanta un máximo de cinco solicitudes para comenzar a actualizar las dependencias a su última versión. Si fusionas algunas de estas primeras solicitudes de extracción antes de la siguiente actualización programada, entonces se abrirá un máximo de cinco solicitudes para todas aquellas subsecuentes (puedes cambiar este límite).

If you've enabled security updates, you'll sometimes see extra pull requests for security updates. These are triggered by a Dependabot alert for a dependency on your default branch. Dependabot de GitHub automatically raises a pull request to update the vulnerable dependency.

Supported repositories and ecosystems

Currently, Actualizaciones de versión para el Dependabot de GitHub doesn't support manifest or lock files that contain any private git dependencies or private git registries. This is because, when running version updates, Dependabot must be able to resolve all dependencies from their source to verify that version updates have been successful. However, if you want to enable version updates for dependency manifests or lock files that do contain private dependencies, you can still enable Dependabot preview.

You can configure version updates for repositories that contain a dependency manifest or lock file for one of the supported package managers.

  • Bundler: bundler
  • Cargo: cargo
  • Composer: composer
  • Docker: docker
  • Elm: elm
  • git submodule: gitsubmodule
  • GitHub Actions: github-actions
  • Go modules: gomod
  • Gradle: gradle
  • Maven: maven
  • Mix: mix
  • npm: npm
  • NuGet: nuget
  • pip: pip
  • Terraform: terraform

If your repository already uses an integration for dependency management, you will need to disable this before enabling Dependabot de GitHub. For more information, see "About integrations."

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos